e-mail forms vs. e-mailadressen op website - Softwareontwikkeling

woensdag 28 februari 2007 13:01

Acties:

Topicstarter

Hee,

Iedereen weet natuurlijk van alle spam waar iedereen last van heeft, en ook mijn persoonlijke mail zit er vol mee. Nu beheer ik de website van mijn vereniging (zie mijn account), en ik kan tot 25 pop3 mailboxen aanmaken.

Natuurlijk wil ik zorgdragen dat e-mail adressen niet volgespamd worden, door open en bloot mailadressen neer te zetten, dus wil ik voor de verschillen mailboxen beveiligde formulieren maken (d.m.v. captcha) Als het qua beveiliging mogelijk is zou ik wel graag een e-mail adres als plaatje neer willen zetten.. wil wel zeker weten of dat wel veilig.

Ik zie dat tweakers ook gebruik maakt van een image om een email adres te tonen maar volgens mij wordt dat ook door de zgn. spambots opgepakt....

Oftewel.. mijn vragen:

- Wie weet een veilige manier van webformulieren, wellicht een bepaalde code aangeven waar je ervaring mee hebt
- hoe zit het met jpeg's neerzetten op de website, is dat veilig?

woensdag 28 februari 2007 13:19

Acties:

Verwijderd

Webformulieren voor e-mail bedoel je? Er is een vrij uitgebreide PHPclass beschikbaar die dit voor je kan regelen: http://phpmailer.sourceforge.net/

Wat betreft het plaatsen van e-mail adressen op een site, wat ik vaak toegepast zie worden, is een soort javascript vertaling van een emailadres link, waardoor deze wel clickable blijft. Gister toevallig nog een voorbeeld gezien op een site: http://www.cyso.nl/contact/algemeen/

Deze gebruikt iets in de trend van:

HTML:

1	<script type="text/javascript">eval(unescape('%64%6f%63%... [break]....61%3e%27%29%3b'))</script>

(bovenstaande code ingekort, bestaat uiteraard uit allemaal ascii waardes)

wat de volgende output levert

HTML:

1	<a href="mailto:box@domein.nl">box@domein.nl</a> // aangepast, de echte output geeft iets anders

Weet niet of dit 100% e-mail miners tegenhoudt maar het lijkt me beter dan "kaal" op de site zetten, zie het namelijk wel vaker op deze manier!

/edit: Wat betreft jpg's, dit is uiteraard wel veilig (mits je de jpg niet de naam van het emailadres geeft uiteraard

"a@bn.nl.jpg" ofzo ), maar de vraag is of het gebruiksvriendelijk is!

[ Voor 23% gewijzigd door Verwijderd op 28-02-2007 13:23 ]

woensdag 28 februari 2007 13:23

Acties:

Helmet

en wat nu als ik geen javascript heb of aan heb staan?
overigens kan een crawler ook gewoon de generated html opvragen en daar als nog het e-mailadres uit filteren.

Icons are overrated

woensdag 28 februari 2007 13:26

Acties:

Verwijderd

@Helmet, ik zei al... 100% veilig is het niet, gebruik dan een contactformulier (die bots weer kunnen volspammen, indien je geen additionele maatregelen treft) die je met behulp van de php mailer class verstuurd. Je kan ook in PHP een ticketing systeempje bouwen, dus zonder gebruik van e-mail.

Er zijn legio mogelijkheden, de ene veilig en niet gebruiksvriendelijk, de ander minder veilig en wel gebruiksvriendelijk. Het is elke keer weer een afweging welke je kiest!

Een andere leuke is, een <span> met reversed text, dan kan je je e-mailadres er "achterstevoren" inzetten zodat hij alsnog goed wordt getoond. Copy+Pasten levert dan echter niet het gewenste resultaat, maar scheelt wel in de creatie (in de vorm van een script) van de jpg bestanden (mits je ze niet allemaal afzonderlijk gaat maken)

edit:
ff goeier NL van gemaakd

[ Voor 4% gewijzigd door Verwijderd op 28-02-2007 13:28 ]

woensdag 28 februari 2007 13:36

Acties:

Verwijderd

Ik vraag me af of dit werkt:

HTML:

1 2	<a href="mailto:dsasdfasdf@bsdj.com" onclick="this.href='ma'+'ilto:echte'+'@'+'adres.nl'">Mail</a>

Ook weer javascript...

woensdag 28 februari 2007 13:41

Acties:

Sypher

Ha da's een goeie. In Firefox 2(.0.0.2) werkt hij

woensdag 28 februari 2007 15:15

Acties:

Fuzzillogic

Cool

Een formuliertje op de site is prima, maar imo heeft een normaal klikbaar (en liefst ook leesbaar) e-mailadres toch wel sterk de voorkeur, omdat je dan tenminste de mail zelf in je sent-items-folder terugkomt.

Ik heb zelf ook een stukje geschreven over E-mail address hiding.

Als je afbeeldingen wilt gebruiken, gebruik dan geen jpeg maar png of gif, als je nostalgisch bent aangelegd.

woensdag 28 februari 2007 15:51

Acties:

SuperCrisz

Topicstarter

Fuzzillogic schreef op woensdag 28 februari 2007 @ 15:15:
Een formuliertje op de site is prima, maar imo heeft een normaal klikbaar (en liefst ook leesbaar) e-mailadres toch wel sterk de voorkeur, omdat je dan tenminste de mail zelf in je sent-items-folder terugkomt.

Ik heb zelf ook een stukje geschreven over E-mail address hiding.

Als je afbeeldingen wilt gebruiken, gebruik dan geen jpeg maar png of gif, als je nostalgisch bent aangelegd.

Heb het even doorgenomen.. ziet er op zich goed uit.. Wat zijn de ervaringen in de praktijk?? Is dit waterdicht?

woensdag 28 februari 2007 16:49

Acties:

Fuzzillogic

Cool

Ik heb de e-mailadressen op mijn site nu zo'n 2 jaar beschermd met die methode. Nu krijg ik wel spam op één van die adressen, maar dat adres heb ik ook elders gebruikt (niet al te slim idd..) En het opvallende is dat de spam die ik daarop krijg geadresseerd is op mijn voornaam, hetgeen m.i. uitsluit dat het vekregen is door een spider.

Dus het lijkt wel waterdicht te zijn tot op heden. Helaas is het niet bestand tegen OCR-aanvallen, maar zolang e-mailadressen nog veel te makkelijk te vergaren zijn zonder gebruik te maken van dat soort methodes, zullen spammers het niet gaan gebruiken.

woensdag 28 februari 2007 19:19

Acties:

Blaise

Kan je niet gewoon een fatsoenlijke spamfilter installeren? Ik vind dat je bezoekers zonder javascript niet moet vermoeien met jouw spamprobleem.

Mijn e-mailadres, dat ik naar Gmail forward, staat op een aantal plaatsen open en bloot op het internet. Ik ontvang daarop ongeveer 100 spam e-mails per dag, waarvan 99% in de spam map belandt. Nog nooit een false positive gehad.

woensdag 28 februari 2007 20:28

Acties:

Fuzzillogic

Cool

Ik gebruik thunderbird, spam-filter daarvan is best goed. Toch weten ze met de image-spam er best goed doorheen te komen tegenwoordig.

Het is maar waar je de grens legt. Je hebt een punt, en ik wil bezoekers ook helemaal niet vervelen met mijn spam-probleem. Maar nood breekt wet. Ik ben het echt beu. Wat als er morgen weer een andere methode komt die ook jouw gmail-filter weet te omzeilen?

De methode op m'n website zal maar voor een behoorlijk klein percentage mensen een probleem opleveren. Eventueel kun je mensen m.b.v. noscript een alternatief aanbieden, in de vorm van "ik ben bereikbaar op voorbeeld apenstaartje example punt com" oid.

donderdag 1 maart 2007 09:20

Acties:

SuperCrisz

Topicstarter

@blaise
Ten eerste, een PC zonder Java geinstalleerd kan ik me niet voorstellen. Tegenwoordig zit het zo standaard ingebakken.. net zoals flash codec etc.

Ten tweede, het is natuurlijk mijn spamprobleem... maar ik heb te maken met regels van de webhosting, als er 100en mailtjes worden verstuurd via de site, merken zij dat.. en grijpen ze in: spambeleid. Daarnaast, als je een professioneel bedrijf hebt, wil je je zo goed mogelijk beschermen

donderdag 1 maart 2007 09:27

Acties:

bartgabriels

SuperCrisz schreef op donderdag 01 maart 2007 @ 09:20:
@blaise
Ten eerste, een PC zonder Java geinstalleerd kan ik me niet voorstellen. Tegenwoordig zit het zo standaard ingebakken.. net zoals flash codec etc.

Java <> Javascript ...

En er zijn meer mensen dan je denkt die javascript hebben uitgeschakeld. Bij mij wordt alle Javascript geblokeerd voor website die ik niet expliciet als "vertrouwd" heb geklasseerd.

donderdag 1 maart 2007 09:43

Acties:

EnigmA-X

bartgabriels schreef op donderdag 01 maart 2007 @ 09:27:
[...]

Java <> Javascript ...

En er zijn meer mensen dan je denkt die javascript hebben uitgeschakeld. Bij mij wordt alle Javascript geblokeerd voor website die ik niet expliciet als "vertrouwd" heb geklasseerd.

En zoals zo vaak denken veel mensen dat tweakers.net de middenmoot van de surfende Nederlander weergeeft. Ik durf op basis van cijfers te beweren dat 99% van de surfende Nederlander niet eens weet wat Javascript is, laat staan dat hij weet hoe en dat het uberhaupt uitgeschakeld kan worden.

Ik vraag me overigens af wat jij allemaal nog meer uitgeschakeld hebt staan en op welke basis jij websites als 'veilig' classificeert m.b.t. JS.

De beste oplossing moet je zelf afwegen. Ik denk dat je je tijd beter kunt stoppen in spamfiltering dan het voorkomen van ontvangen. Dat op basis van het feit dat in het verleden er altijd wel weer een manier wordt gevonden om e-mail adressen te harvesten.

donderdag 1 maart 2007 11:57

Acties:

Fuzzillogic

Cool

Het percentage mensen dat zonder javacsript surft lijkt mij ook minimaal. En zoals gezegd: je hebt wel gelijk, en een website moet ook gewoon werken zonder JS, maar de balans slaat in dit geval door naar de andere kant. Bovendien is het maar een zeer klein onderdeel van een site dat dan niet werkt, en valt het op te vangen middels een stukje <noscript>.

Mogelijk dat je uiteindelijk minder tijd kwijt bent met het voorkomen van spam, dan met het verwijderen ervan. Scripts/oplossingen die voorkomen dat e-mailadressen (1 woord

) open en bloot op je website staan kun je kant-en-klaar vinden. Uiteraard is het geen silver bullit. Zeker als de gebruikte methode populair wordt, dan valt er opeens heel eenvoudig een 'crack' voor te maken die alle pogingen weer teniet doet.

Ik heb e-mail op mijn mobiel. Maar ik kan het gewoon niet gebruiken vanwege alle spam. Dus ik voorkom het liever. En ik denk dat bezoekers daar ook best begrip voor hebben.

donderdag 1 maart 2007 13:07

Acties:

Joolee

Mijn email staat overal open en bloot, er komen mails van tenminste 5 adressen binnen in één mailbox en ontvang daardoor 1000`en spam mails per week. Bij GMail worden ze er bijna allemaal netjes uitgefilterd en ik krijg misschien maar één spam mail per week in mijn inbox.
Je kunt ook alleen maar GMail als filter gebruiken. Dan stel je in GMail in dat alle mails worden geforward naar het adres dat jij wilt. Bijv. info@joolee.nl => joolee@gmail.com => nospam@joolee.nl

donderdag 1 maart 2007 13:12

Acties:

Erkens

Fotograaf

Blaise schreef op woensdag 28 februari 2007 @ 19:19:
Kan je niet gewoon een fatsoenlijke spamfilter installeren? Ik vind dat je bezoekers zonder javascript niet moet vermoeien met jouw spamprobleem.

Voorkomen is beter dan genezen

Daarnaast is spam een probleem voor iedereen, alleen al omdat het nutteloos CPU en netwerk verkeer verbruikt...

Maar ik denk dat ik voor een formulier ga als het gaat om de toegankelijkheid zo hoog mogelijk te houden, eventueel aangevuld met een javascript/image oplossing voor de groep die dat kan/wil gebruiken.

donderdag 1 maart 2007 22:20

Acties:

Verwijderd

Met een php contact formulier kun je nauwkeurig elke ingevoerde waarde controlen.

Je hebt bijvoorbeeld een contact formulier met naam, adres, woonplaats, email, telefoon en het bericht.

de verplichte velden zijn naam, telefoon of email en het bericht.

Controleer in php het volgende:

Naam heeft geen cijfers of 1 van de volgende tekens !@#$%^*()&_+=.
Telefoon: bestaat uit 10 - 13 cijfers. en je kunt spaties, - en + toelaten.
email: is te controleren met een simpel email script
en het bericht controleren op niet meer dan 2 url's en controleer dat er iets instaat.

Om te voorkomen dat robots alsnog alles juist invullen kun je de invoervelden vreemde benamingen geven bijv. <input type="text name="DFGjlk5469" />

Voor de rest controleer ik ook nog altijd met js voordat een bericht verstuurd word.

hoop dat iemand hier iets aan heeft.

donderdag 1 maart 2007 23:16

Acties:

Fuzzillogic

Cool

Wees niet te beperkend met dat soort checks. In jouw voorbeeld is iemand die een telefoonnummer als (073) 522 321 63 invult dus al de klos. Dan gaat het principe van "val de bezoeker niet met jouw spamproblemen lastig" ook al niet meer op.

Vaak ontbreekt de optie om te kiezen of je zelf een kopie wilt ontvangen van het formuliertje dat je verstuurt. Da's jammer, want ik houd graag bij wat ik zelf verstuur.

Slightly related: ik heb eergisteren een online bestelling afgebroken, want de registratieprocedure (ook al zo'n vervelende eis) accepteerde het niet dat ik speciale tekens had in mijn wachtwoord. Dan komt de middelvinger in actie: rechtermuisknop indrukken een de mouse gesture om de pagina te sluiten. Daar gaat mijn geld! Naar een ander!

donderdag 1 maart 2007 23:24

Acties:

Erkens

Fotograaf

Fuzzillogic schreef op donderdag 01 maart 2007 @ 23:16:
Wees niet te beperkend met dat soort checks. In jouw voorbeeld is iemand die een telefoonnummer als (073) 522 321 63 invult dus al de klos.

Maar hoe ver wil je gaan?
Als ik nul-drie-en-zeventig vijfhonderd-twee-en-twintig ...... invul wil je dat ook nog ondersteunen?
Vaak is het gewoon handiger voor beide partijen om gewoon duidelijk te zijn van wat je van de ander verwacht. Geef aan in welk formaat het ingevoerd moet worden, want anders _krijg_ je juist problemen.

Vaak ontbreekt de optie om te kiezen of je zelf een kopie wilt ontvangen van het formuliertje dat je verstuurt. Da's jammer, want ik houd graag bij wat ik zelf verstuur.

helemaal mee eens, eigenlijk zou dat gewoon standaard moeten zijn.

Slightly related: ik heb eergisteren een online bestelling afgebroken, want de registratieprocedure (ook al zo'n vervelende eis) accepteerde het niet dat ik speciale tekens had in mijn wachtwoord. Dan komt de middelvinger in actie: rechtermuisknop indrukken een de mouse gesture om de pagina te sluiten. Daar gaat mijn geld! Naar een ander!

offtopic:
helaas heb je niet altijd die keus, omdat het niet ergens anders leverbaar is, of extreem duurder, maar ik heb ook ooit een bestelling afgebroken omdat een .info e-mail adres ongeldig was

donderdag 1 maart 2007 23:37

Acties:

Fuzzillogic

Cool

Erkens schreef op donderdag 01 maart 2007 @ 23:24:
[...]

Maar hoe ver wil je gaan?

Tot het niveau dat een formulier mij niet meer verveelt met allerlei vage eisen

Als ik een simpele vraag wil stellen aan een instantie/bedrijf en ik verwacht antwoord per e-mail, waarom MOET ik dan mijn telefoonnummer nog geven? Wat we vaker hebben gedaan is als iemand iets invult bij het veld "telefoon" dat we dan pas gaan controleren of het ingevulde ook aan een paar simpele eisen voldoet, basically of er >=10 cijfers in staan. Want sja, een telefoonnummer met 9 cijfers gaat niet werken.

Als mensen kwaad in de zin hebben of geen behoefte om bepaalde dingen in te vullen, dan omzeilen ze je checks toch wel. Dus kun je ze meteen weglaten. Gebruik ze hooguit als controle tegen invoerfouten, maar dat is, zoals gezegd, ook al tricky. Met een captcha houd je iig de bots nog buiten de deur.

donderdag 23 september 2010 00:49

Acties:

Mini Poeper

*KUCH*
Oud topic onder stof vandaan halen.

Ik ben bezig een website te maken. Naast vermelding van emailadres heb ik een contactformulier, gebasseerd op -deze-
Ik hoop dat deze veilig genoeg is... in ieder geval worden de formulieren gestuurd via een alias mailadres die uiteindelijk in mijn info adres belanden.

Het infoadres op de site is een .png afbeelding. Echter op de mobiele website wordt deze anders weergegeven dan op mijn reguliere website. De letters in de afbeelding zijn een stuk kleiner dan de rest van de tekst. Bovendien komen op beide websites de opmaak van de tekst en afbeelding niet altijd mooi met elkaar overeen.

Zijn volgende mogelijkheden ook veilig genoeg te noemen ipv een afbeelding?

info [@] website.nl
info [at] domein.at

of at apart van elkaar schuin zetten:

HTML:

1	<p>info [<i>a</i><i>t</i>] webadres.kom

info [at] webadres.kom

of zou

HTML:

1	<p>info [<i>@</i>] meel.de</p>

info [@] meel.de
wat resulteert in info [@] meel.de genoeg zijn?

Nog duidelijker zelfs voor de leek/bezoeker:

HTML:

1	<p>info <i>@</i> meel.de</p>

info @ meel.de

donderdag 23 september 2010 01:05

Acties:

MueR

Admin Devschuur® & Discord

is niet lief

Doe eens niet. Open maar een nieuw topic met je probleem. Oude koeien laten we graag in de sloot, dat scheelt een hoop.

[ Voor 35% gewijzigd door MueR op 23-09-2010 01:06 ]

Anyone who gets in between me and my morning coffee should be insecure.